ထိခိုက်မှု
Ghost ဗားရှင်း 3.24.0 မှ 6.19.0 သည် အကြောင်းအရာ API [S1] ရှိ အရေးကြီးသော SQL ထိုးနှံမှု အားနည်းချက်ကို ခံရနိုင်ချေရှိသည်။ အထောက်အထားမခိုင်လုံသော တိုက်ခိုက်သူတစ်ဦးသည် အရင်းခံဒေတာဘေ့စ် [S2] ကို မတရား SQL အမိန့်များကို လုပ်ဆောင်ရန် ဤချို့ယွင်းချက်ကို အသုံးချနိုင်သည်။ အောင်မြင်စွာ အမြတ်ထုတ်ခြင်းသည် ထိလွယ်ရှလွယ် အသုံးပြုသူဒေတာကို ထိတွေ့မှု သို့မဟုတ် ဆိုက်အကြောင်းအရာ [S3] ၏ ခွင့်ပြုချက်မရှိဘဲ ပြုပြင်မွမ်းမံခြင်းကို ဖြစ်ပေါ်စေနိုင်သည်။ ဤအားနည်းချက်ကို CVSS ရမှတ် 9.4 သတ်မှတ်ထားပြီး ၎င်း၏ပြင်းထန်မှု [S2] ကို ရောင်ပြန်ဟပ်ထားသည်။
အကြောင်းအရင်း
ပြဿနာသည် Ghost အကြောင်းအရာ API [S1] အတွင်း မလျော်ကန်သော ထည့်သွင်းမှု မှန်ကန်ခြင်းမှ အရင်းခံပါသည်။ အထူးသဖြင့်၊ အပလီကေးရှင်းသည် ၎င်းကို SQL မေးမြန်းချက် [S2] တွင် ထည့်သွင်းခြင်းမပြုမီ သုံးစွဲသူမှပေးသောဒေတာကို မှန်ကန်စွာဆေးကြောရန် ပျက်ကွက်ပါသည်။ ၎င်းသည် တိုက်ခိုက်သူတစ်ဦးအား အန္တရာယ်ရှိသော SQL အပိုင်းအစများ [S3] ထိုးသွင်းခြင်းဖြင့် query တည်ဆောက်မှုကို ကိုင်တွယ်ရန် ခွင့်ပြုသည်။
ထိခိုက်ထားသောဗားရှင်းများ
3.24.0 မှ စတင်ပြီး 6.19.0 အထိနှင့် 6.19.0 အပါအဝင် သရဲဗားရှင်းများသည် ဤပြဿနာအတွက် [S1][S2] တွင် အားနည်းချက်ရှိသည်။
ပြုပြင်ခြင်း။
ZXCVFIXVIBESEG၁၀ စီမံခန့်ခွဲသူများသည် ဤအားနည်းချက် [S1] ကိုဖြေရှင်းရန် ၎င်းတို့၏ Ghost တပ်ဆင်မှုကို 6.19.1 သို့မဟုတ် နောက်ပိုင်းတွင် ဗားရှင်းသို့ အဆင့်မြှင့်သင့်သည်။ ဤဗားရှင်းတွင် အကြောင်းအရာ API မေးမြန်းချက် [S3] တွင် အသုံးပြုသော ထည့်သွင်းမှုကို မှန်ကန်စွာ ပျက်ပြယ်စေသော ဖာထေးမှုများ ပါဝင်သည်။
ZXCVFIXVIBESEG ၁၁
Vulnerability ခွဲခြားသတ်မှတ်ခြင်း။
ဤအားနည်းချက်ကို ဖော်ထုတ်ခြင်းတွင် ထိခိုက်သည့်အကွာအဝေး (3.24.0 မှ 6.19.0) [S1] ပက်ကေ့ဂျ်၏ ထည့်သွင်းထားသောဗားရှင်းကို စစ်ဆေးခြင်းတွင် ပါဝင်ပါသည်။ ဤဗားရှင်းများကိုအသုံးပြုသည့်စနစ်များသည် အကြောင်းအရာ API [S2] မှတစ်ဆင့် SQL ထိုးခြင်းအတွက် အန္တရာယ်မြင့်မားသည်ဟု ယူဆပါသည်။